Poprzedni Następny

Zdalne wykonanie kodu w D-Link DNS-343 ShareCenter

Zdalne wykonanie kodu w D-Link DNS-343 ShareCenter

D-Link DNS-343 jest urządzeniem klasy NAS (koszt ~520$), w którym ujawniono podatność pozwalającą na zdalne wykonanie kodu. DNS-343 ma możliwość udostępniania zasobów przez serwer www (goAhead Web Server) na którym odkryto w katalogu “maintenance” skrypt test_mail.asp. Analiza opisywanego skryptu wykazała, że dane przekazywane do niego w żaden sposób nie są walidowane, oraz wykonuje on bezpośrednio polecenie systemowe. Pozwoliło to atakującemu na wstrzyknięcie kodu do polecenia, które zostało z powodzeniem wykonane w systemie. Producent został poinformowany o podatności. Jednak ze względu na brak odzewu przez ostatnie 6 miesięcy błąd został opublikowany wczoraj.

Źródło: https://cxsecurity.com/issue/WLB-2018010141